探索驱动程序漏洞的利器:IOCTLance

于 2024-06-13 09:53:17 发布
阅读量347 收藏 5
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00042/article/details/139645093
版权

探索驱动程序漏洞的利器:IOCTLance

项目地址:https://gitcode.com/zeze-zeze/ioctlance

在网络安全的世界里,发现并修复漏洞是持续进行的斗争。Windows Driver Model(WDM)驱动程序作为操作系统的核心部分,其安全性直接影响着系统的整体安全。为此,我们向您推荐一款强大的工具——IOCTLance,它是一款在CODE BLUE 2023上展示的开源项目,专门用于检测WDM驱动中的多种类型漏洞。

项目介绍

IOCTLance是一个利用符号执行和污点分析技术的智能工具,能有效增强对WDM驱动程序中潜在漏洞的发掘能力。通过对104个已知漏洞的驱动和328个未知状态的驱动进行测试,IOCTLance成功识别出117个新的未报告漏洞,涉及26个不同的驱动,共报告了41个CVE,涵盖服务拒绝、权限不足和特权提升等不同类型的威胁。

技术分析

IOCTLance聚焦于以下目标漏洞类型:

  • 物理内存映射
  • 可控制的进程句柄
  • 缓冲区溢出
  • 零指针解引用
  • 读写可控地址
  • 随意shellcode执行
  • 随意写MSR
  • 随意输出
  • 危险文件操作

此外,该项目提供了多种可定制选项,如长度限制、循环边界、总超时时间以及IoControlCode超时时间等,以便根据特定需求进行调整。

应用场景

无论您是一位安全研究人员,还是负责企业内部安全审计的专业人士,或者是热衷于提高系统安全性的开发者,IOCTLance都能成为您的得力助手。您可以使用它来:

  1. 对新发布的或内部开发的WDM驱动进行深度安全扫描。
  2. 检查第三方驱动的潜在风险,确保供应链安全。
  3. 教育和培训,了解漏洞挖掘技术和实际应用。

项目特点

  • 高效检测:成功识别117个新的安全问题,覆盖多种漏洞类型。
  • 高度自定义:提供多个参数以适应不同的分析策略。
  • 易用性:支持通过Docker快速构建环境,本地安装也简单明了。
  • 全面评估:强大的统计功能,便于后期分析和报告。

要开始使用IOCTLance,请按照项目提供的README.md文件中的指南进行编译和分析,并体验其出色的功能。无论是为了加强您的系统防护,还是推动安全研究的进步,IOCTLance都是值得信赖的伙伴。

让我们一起深入代码,探索那些隐藏的安全隐患,为更安全的数字世界贡献力量!

项目地址:https://gitcode.com/zeze-zeze/ioctlance

尚舰舸Elsie
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
漏洞挖掘利用基础知识
single7_的博客
11-17 1447
基础知识 bug & exploit 什么是bug? 程序错误,是程序设计中的术语,是指在软件运行中因为程序本身有错误而造成的功能不正常、死机、数据丢失、非正常中断等现象。 什么是漏洞漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。 漏洞和bug的区别: 漏洞专指安全方面的问题,Bug则不限于安全方面。漏洞通常不影响程序正常功能,但是 bug 会影响程序正常功能。 漏洞的挖掘,分析和利用 “灰”盒测试— fuzz :Fuzzing
Linux 安全预警:Linux 内核的 USB 驱动存在大量缺陷
weixin_34233421的博客
11-01 239
大众普遍认为,与 Windows 相比,Linux 和 macOS 操作系统具有更好的安全性。这个观点在大多数情况是成立的,但因此而不承认任何可能存在的攻击则显得不理性。最近,谷歌安全研究员 Andrey Konovalov 发现了一些 Linux 漏洞。 Konovalov 使用 Linux 内核模糊测试工具Syzkaller 发现了 Linu...
windows内核驱动漏洞挖掘工具 - IOCTL Fuzzer
weixin_30786617的博客
01-30 273
IOCTL Fuzzer是一个自动化的windows内核驱动漏洞挖掘工具,它利用自己的驱动hook了NtDeviceIoControlFile, 目的是接管整个系统所有的IOCTL请求。当处理IOCTL请求时,一旦符合配置文件中定义的条件,IOCTL Fuzzer回用随机产生的fuzz数据去替换IOCTL的原始请求数据。IOCTL Fuzzer只替换输入数据并不会改变IOCTL数据包的其他数据。I...
利用驱动漏洞
最新发布
SHELLCODE_8BIT的博客
08-27 137
sbyt3/IObitUnlocker.Wrapper (github.com)
驱动漏洞利用的另一种思路
r250414958的博客
03-27 661
驱动漏洞利用的另一种思路前言Kernel Callback Routines项目参考 前言 之前在前面<cpu-z 驱动漏洞利用>中说了可以利用驱动漏洞绕过杀毒软件OBOperationRegistration保护获取进程的最高权限,下面这种又是一种新思路来绕过杀毒软件的保护 Kernel Callback Routines 当 Microsoft 在 2005 年推出内核补丁保护(PatchGuard)时,严重限制了杀毒软件和一些保护软件在驱动中使用内核hook(例如:sstdhook,I
度学习利器:TensorFlow系统架构及高性能程序设计
02-25
2015年11月9日谷歌开源了人工智能平台TensorFlow,同时成为2015年最受关注的开源项目之一。经历了从v0.1到v0.12的12个版本迭代后,谷歌于2017年2月15日发布了TensorFlow1.0版本,并同时在美国加州山景城举办了首届...
10G PON发展利器:FTTH
01-19
IPTV等视频类业务成为驱动网络继续发展的主力,传输一路高清电视需要少20Mbps的带宽,而目前入户带宽大多数是2Mbps。发展包括视频在内的三网融合业务对电信运营商来说有着巨大的带宽压力, 加快发展光纤接入FTTx...
深度学习利器:TensorFlow与NLP模型
01-27
自然语言处理(简称NLP),是研究计算机处理人类语言的一门技术,NLP技术让计算机可以基于一组技术和理论,分析、理解人类的沟通内容。传统的自然语言处理方法涉及到了很多语言学本身的知识,
深度学习利器:TensorFlow与深度卷积神经网络
01-27
图像识别技术越来越多地渗透到我们的日常生活中,人可以很快递判别图像类型,比如,很容易地识别一个图片是狮子还是其它动物,可以很容易地对人脸进行识别。但是对于机器来说,去识别一个图片是什么,是一个非常困难...
linux usb 驱动漏洞,科学家发现26个USB漏洞:Linux有18个 Windows有4个
weixin_29768055的博客
05-13 134
近日多名学术界人士表示,在Linux、macOS、Windows和FreeBSD等操作系统所使用的USB驱动堆栈中发现了26个新的漏洞。这支科研团队由普渡大学的Hui Peng、瑞士联邦理工学院洛桑分校的Mathias Payer带领,所有漏洞都是通过他们创建的新工具USBFuzz发现的。图片来自于 WiKiMedia这类工具被团队成员称之为“模糊器”(fuzzer)。模糊器是多款应用程序的集合...
漏洞分析:MS14-058(CVE-2014-4113)
m0_64973256的博客
10-20 587
作者:selph漏洞分析:CVE-2014-4113漏洞介绍漏洞程序Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。win32k.sys是Windows子系统的内核部分,是一个内核模式设备驱动程序,它包含有窗口管理器、后台控制窗口和屏幕输出管理等。如果Windows内核模式驱动程序不正确地处理内存中的对象,则存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代码。攻击者随后可安装程序;查看、更改或删除数据;
漏洞挖掘篇(进阶·上)
m0_57929980的博客
06-23 1561
漏洞挖掘篇(进阶·上):介绍程序切片技术及方法、程序插桩技术、Hook技术(包括消息Hook、API Hook)
Intel Wi-Fi驱动漏洞分析
MachineGunJoe666
04-28 328
背景:Intel Wi-Fi芯片广泛应用于个人笔记本电脑产品,如ThinkPad、Dell笔记本等。2020年,ZDI组织披露了Intel无线网卡Windows驱动程序中存在CVE-2020-0557和CVE-2020-0558漏洞。其中,CVE-2020-0557的CVSS v3.0评分为8.1分,CVE-2020-0558的CVSS v3.0评分为8.2分。通过这两个漏洞,攻击者可以在受害者电脑中远程执行任意代码。 CVE-2020-0558漏洞分析 1漏洞原理 当AP热点处理Assoc.
cpu-z 驱动漏洞利用
r250414958的博客
03-26 775
cpu-z 驱动漏洞利用前言OBOperationRegistration参考项目 前言 其实这种利用大多数是用来做一些外挂的利用,但是我们可以转换思路来用来对抗杀毒软件的保护。 不只是cup-z有这种漏洞,技嘉,戴尔,华硕…等一些大厂都有这种漏洞,并且有些驱动签名还没有失效。 OBOperationRegistration 当某些软件使用openprocess打开了杀毒软件的进程的时候,会触发这个回调,对openprocess的句柄进行降权操作.使得我们无法使用TerminateProcess、Wri
戴尔修复已存在12年之久的驱动漏洞,影响数百万个人电脑
smellycat000的专栏
05-06 673
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士戴尔修复了一个已存在12年之久的漏洞,它影响数百万台戴尔桌面、笔记本电脑、平板,该漏洞编号为 CVE-2021-21551,影响D...
某软件驱动任意地址写任意数据漏洞
深度技术安全
11-17 1165
感觉现在这种漏洞比较突出。METHOD_NEITHER中的输出buf为什么长度为0的时候要开发者自己去检查buf长度合不合理。 虽然没去看windows源码,但是,个人感觉一个正常的用户有两种情况: 1、buf长度为0,对应的驱动例程确实也没有输出 2、buf长度不为0,对应的驱动例程确实有输出。 当一个恶意的ring 3程序,朝2发DeviceIoControl(。。。,OutputBu
Android内核层驱动程序UAF漏洞提权实例
道阻且长,行则将至。
02-28 7559
文章目录前言UAF漏洞 前言 自 2021 年 11 月从国企离职并入职互联网私企后,发现博客很少更新了……自然不是因为开始躺平了(菜鸡的学习之路还很漫长…),而是新的平台充满挑战,需要学习的东西实在太多了(所以一直加班中…),加上很多内部学习材料和内容不可在公司外网传播,所以就很少写 CSDN 博文了。但是稍有时间还是要保持写博文习惯的hh,个人觉得这不仅是对个人技术成长的记录,也是一种促使自己不断保持学习状态的好习惯。 换工作后开始从事移动终端安全的方向,最近在学习 Android 内核层和驱动漏洞
内核驱动漏洞与攻击预防-MJ0011
zhuhuibeishadiao
03-31 1685
总结: 1. 不要使用MmIsAddressValid函数,这个函数对于校验内存没有任何意义 2. 一定要保证在try_execpt内完成你所有对于用户态内存的任何操作 3.留心长度为0的缓存、为NULL的缓存指针和缓存对齐 4.不正确的内核函数调用引发的问题 5.给驱动提供的功能性接口必须小心 6.设备控制尽量使用BUFFERED IO,而且一定要使用SystemBuffer,如果不
驱动人生”利用高危漏洞传播病毒
Fly_鹏程万里
12-20 4687
一、概述 12月14日,火绒安全团队发现”驱动人生”旗下多款软件携带后门病毒DTStealer,仅半天时间感染了数万台电脑。该病毒进入电脑后,继续通过”永恒之蓝”高危漏洞进行全网传播(特别是政企单位局域网),并回传被感染电脑的IP地址、CPU型号等信息。  目前截获的病毒没有携带其他攻击模块,只是”潜伏”。病毒服务器只开放了不到10个小时即关闭,但是已经感染数万台电脑。 根据火绒安全团队分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尚舰舸Elsie

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值